[Fli4l_dev] 6in4 mit H?==?utf-8?Q?E-Tunnel - kann mir jemand?==?utf-8?Q? mit dem Setup helfen?
K. Dreier
usenetforum at gmx.net
Mi Aug 10 08:07:09 CEST 2016
Hallo,
Danke zunächst für dein Feedback!
butterfly schrieb am Di, 09 August 2016 20:38
> öhm hast du in der dns_dhcp.txt auch den IPv6 DNS eingeschaltet?
> "SUPPORT_IPV6='yes'"
Ja.
Zitat:
> > PF6_INPUT_1='if:IPV6_NET_1_DEV:any prot:tcp 22 ACCEPT' # allow
> > any
> > (external) IP access to fli4l SSH
>
> Ich dachte Netz 1 hätte gar kein IPv6?!?
Hat es auch nicht nativ. Aber via Tunnel? Also müsste ich doch, gemäß
meinem Verständnis, auch in der Lage sein, den fli4l von aussen auf
einer "öffentlichen" IPv6 anpingen zu können, respektive mit SSH drauf
zugreifen können? Denn das Problem ist ja, daß ich das gerade nicht
via IPv6 von einem native-IPv6 Rechner tun kann, wenn ich für den fli4l
eine IPv4-Adresse nutzen muß. Oder? Ich habe das mit dem Tunnel so
verstanden, daß es nicht mono-direktional, sondern bi-direktional, also
raus und rein, ermöglicht. Oder liege ich da falsch? HE allerdings gibt
mir für meinen client ja eine IPv6-Adresse...
Zitat:
> > PF6_INPUT_2='prot:tcp IPV6_NET_2 22 ACCEPT' # ensure access
> > for
> > NET_2 to fli4l SSH
> > [paar Verbote bezogen auf bestimmte ports, was nix mit port 80
> > etc zu
> > tun hat]
>
> der hier ist
>
> > PF6_INPUT_7='IPV6_NET_2 ACCEPT' # allow all hosts in
> > NET_2
> > remaining access to router
>
> mit dem hier hinfällig...
Richtig. Allerdings habe ich es mal geschafft, beim Testen mich
auszusperren, weil ich den Eintrag 7 verändert hatte. ;-) So habe ich
eine halbwegs idiotensichere Variante, die mir immer den SSH-Zugang
ermöglicht (wenn ich nicht garde alles zerlege...).
Zitat:
> > PF6_FORWARD_1='IPV6_NET_2 ACCEPT' # accept v6_NET_1
> > access to fli4l
>
> wohin soll er forwarden? Der Kommentar ist allerdings falsch...
> hier
> geht es um FORWARD nicht um INPUT
Das mit dem Kommentar stimmt. Weiss nicht, warum das da so drin steht.
Habe ich irgendwie gepennt. Im v4 habe ich insg. 4 interne Netze, welche
unterschiedlich aufeinander zugreifen dürfen, weswegen ich da die
Forwards brauche. Da ich aktuell (noch) bei v6 aber nur 1 internes
Netz/LAN aktiviert habe (keep it simple zum Testen), brauche ich ja wohl
gar kein Forward in dem Fall?
Zitat:
> > PF6_POSTROUTING_1='IPV6_NET_1 MASQUERADE' # masquerade
> > traffic
> > leaving v6_WAN-NIC
>
> Maskieren mußt du im Regelfall bei IPv6 nichts...
Das ist der Standardeintrag, den ich so übernommen/gelassen habe.
Gruß
Klaus
Mehr Informationen über die Mailingliste Fli4l_dev